주문
원심판결을 파기하고, 사건을 서울중앙지방법원에 환송한다.
주문 해설
대법원은 피고인(보험설계사)에 대한 원심판결(서울중앙지방법원 2024. 9. 5. 선고 2023노2040)을 전부 파기하고 사건을 원심법원에 환송했다. 피고인은 고객의 개인정보를 불법 이용한 혐의(구 개인정보 보호법 제71조 제2호, 제18조 제1항 위반)로 기소되었으나, 대법원은 원심이 피고인을 '개인정보처리자'로 전제한 판단에 법리오해 및 심리미진의 잘못이 있다고 보았다. 이는 사기·사전자기록등위작 등 다른 혐의와의 경합범 관계로 전체 판결을 파기한 것으로, 보험설계사의 개인정보처리자 여부를 재심리하도록 환송한 의미가 크다. FC(보험설계사)에게는 고객 개인정보 수집 행위가 자동으로 개인정보처리자 지위를 부여하지 않는다는 중요한 판시로 활용 가능하다.
1. 사건 개요
피고인은 2015. 10. 22.경부터 ○○○보험 주식회사(공소외 1 회사)에서 보험설계사로 위촉되어 활동한 사람이다. 피해자 방○성(을)은 2015년, 2016년 무렵 피고인을 통해 공소외 1 회사의 보험상품에 가입한 고객이다. 피고인은 2017. 1. 4.경 공소외 2와 공모하여 공소외 2가 공소외 1 회사 상담원에게 전화로 마치 방○성인 것처럼 행세하면서, 피고인이 보험설계사로서 보험 가입 및 고객 관리를 위해 수집한 방○성의 생년월일, 주소, 연락처 등의 개인정보를 이용해 방○성의 보험 특약 해지와 주 계약 보장내용 변경을 신청했다. 이로 인해 피고인은 구 개인정보 보호법(2020. 2. 4. 법률 제16930호로 개정되기 전의 것) 제71조 제2호, 제18조 제1항 위반(개인정보 수집 목적 초과 이용), 사기, 사전자기록등위작, 위작사전자기록등행사, 개인정보 보호법 위반 등의 혐의로 기소되었다. 1심(서울중앙지법)은 유죄를 선고하였고, 원심(서울중앙지법 2024. 9. 5. 선고 2023노2040)도 이를 유지하였으나, 피고인이 상고하여 대법원(2026. 2. 26. 선고 2024도14998)에서 개인정보 보호법 위반 부분의 법리오해를 이유로 파기환송되었다. 본 사건은 보험설계사가 고객 관리 목적으로 수집한 개인정보를 제3자와 공모해 불법 이용한 형사사건으로, 보험계약 자체의 분쟁은 아니나 FC의 개인정보 처리 책임 여부를 명확히 한 판례이다.
2. 양측 주장
피고인 주장
피고인은 보험설계사로서 고객(방○성)의 개인정보를 수집·처리한 행위만으로 구 개인정보 보호법상 '개인정보처리자'에 해당하지 않는다고 주장했다. 보험설계사는 보험업법상 모집종사자로 보험회사에 위촉되어 활동하며, 개인정보 처리의 목적·방법 등은 보험회사가 종국적으로 결정하고 지휘·감독하므로 개인정보처리자는 보험회사일 뿐이라고 했다. 따라서 제18조 제1항 위반죄의 수범자가 아니라는 취지로 상고했다. 또한 압수된 증거의 증거능력 문제도 제기했으나, 대법원은 사기 등 다른 부분은 원심 판단이 정당하다고 보았다.
원심(검찰 측) 판단
원심은 피고인이 보험 가입 및 고객 관리 목적으로 방○성의 개인정보(생년월일, 주소, 연락처)를 수집·보유·이용한 사정만으로 '개인정보처리자'에 해당하며, 이를 수집 목적 초과하여 공소외 2와 공모해 특약 해지·보장내용 변경을 신청한 행위가 구 개인정보 보호법 제71조 제2호, 제18조 제1항 위반이라고 판단했다. 제1심 유죄를 유지하며, 피고인의 개인정보 수집 행위 자체를 처리자 지위의 근거로 삼았다.
3. 쟁점 사항
핵심 쟁점: 보험설계사가 개인정보처리자에 해당하는지 여부
- 구 개인정보 보호법 제2조 제5호는 '개인정보처리자'를 "업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 공공기관, 법인, 단체 및 개인 등"으로 정의한다. 제18조 제1항은 개인정보처리자가 개인정보를 제15조 제1항 수집 목적 범위를 초과해 이용·제3자 제공 금지를 규정하며, 제71조 제2호가 이를 처벌한다. - 쟁점은 보험설계사가 고객 가입 과정에서 개인정보를 수집·이용한 행위만으로 '처리자'가 되는지 여부. 대법원은 단순 행위 사실만으로는 부족하며, 개인정보처리 목적·내용·방법·절차의 종국적 결정 권한이 누구에게 있는지 판단 기준을 제시했다. - 고려사항: (1) 처리 목적이 누구의 고유 업무·이익과 밀접한지(보험회사의 계약 체결·의무 이행 등), (2) 실질적 지휘·감독 주체, (3) 개인정보파일의 생성·보유·운용 주체, (4) 정보주체 권익 보호를 위한 책임 귀속 적합성.
부수 쟁점
- 보험업법 제2조 제9호, 제83조 제1항 제1호: 보험설계사는 보험회사 소속 모집종사자로 계약 중개 역할. - 위촉계약·모집위탁계약 내용, 고객정보 관리 주체·방법, 개인정보파일의 실질적 운용 여부 심리 미진. - 사기 등 다른 혐의는 원심 판단 정당하나, 경합범(형법 제37조)으로 전체 파기.
4. 위원회 판단 ⭐ 가장 중요
대법원은 원심의 판단을 법리오해 및 심리미진으로 비판하며 다음과 같이 상세히 검토했다.
4-1. 약관 해석
본 사건은 형사사건으로 보험약관 직접 관련 없으나, 보험설계사 위촉계약·보험모집 위탁계약의 내용이 개인정보 관리 주체를 가늠하는 핵심 자료로 지적되었다. 원심은 이러한 계약 내용을 충분히 검토하지 않고 피고인의 수집 행위만 강조했다.
4-2. 법리적 검토
1) 구 개인정보 보호법의 구조: 개인정보처리자는 스스로 처리하거나 제3자 위탁(제26조), 취급자(제28조)를 통해 처리 가능. 단순 처리 행위 ≠ 처리자 지위. 2) 처리자 판단 기준: 처리 사항의 종국적 결정 권한 귀속 주체. 종합 고려사항: - 목적의 업무·이익 관련성: 보험설계사의 고객정보 수집은 보험회사의 계약 체결·이행(고유 업무)과 밀접. 특별 사정 없이는 보험회사에 권한 귀속. - 지휘·감독 주체: 보험회사가 실질 감독. - 파일 운용: 피고인이 운용하는 개인정보파일의 존부·구체 사정 미심리. - 권익 보호: 보험회사에 책임 귀속이 적합(회사로서 안정적 관리 가능). 3) 보험설계사 특성: 보험업법상 모집종사자로 회사 소속. 가입 과정 개인정보 처리는 회사 업무 연장선. 4) 원심 오류: 피고인 수집 사실만으로 처리자 전제 → 제18조 제1항 위반 단정. 위촉계약, 관리 방법, 파일 사정 미고려 → 법리오해·심리미진. 5) 다만, 처리자 아니더라도 제74조 양벌규정 적용 가능성 별론(대법원 2020도1942 참조).
4-3. 설명의무 등 부수적 쟁점
사기·위작 부분은 원심이 논리·경험칙 준수·자유심증 한계 내로 판단 정당. 압수증거 증거능력 문제도 이유 없음. 그러나 개인정보 부분 파기로 전체 환송.
5. 최종 결정 및 주문
대법원은 개인정보 보호법 위반 부분 파기 필요성을 인정하고, 사기 등 다른 유죄 부분과의 경합범(형법 제37조 전단) 관계로 원심판결 전부를 파기했다. 사건을 서울중앙지방법원으로 환송하여 재심리 지시. FC 실무적으로는 고객 개인정보를 '내 것'처럼 운용하지 말고, 보험회사 지침 준수·파일 관리 실태 확인이 핵심이다. 이 판례는 보험설계사의 개인정보처리자 지위 부정을 통해 형사책임 회피 근거로 활용 가능하나, 회사 감독 하에 충실히 처리해야 함을 강조한다.
